A convite da Soluti, a Dinamo Network apresentou na Cards a solução para gestão e guarda segura de certificados digitais
As fraudes no processo de emissão dos certificados digitais têm sido fortemente combatidas, com sucesso, pela nova gestão do ITI. Foram incorporados ao processo de emissão de certificados digitais ICP-Brasil medidas que fazem parte de novas regulações aprovadas pelo Comitê Gestor da ICP-Brasil.
Os novos procedimentos envolvem, por exemplo, a coleta e conferência biométrica no momento da validação, regulamentação dos locais onde são emitidos os certificados digitais, intensificação de auditoria, novos padrões de treinamento dos agentes de registro, especificações das máquinas dos agentes de registro como o georreferenciamento e o uso obrigatório de software de verificação documental.
Segundo foi divulgado pelo ITI em maio de 2018, houve diminuição de fraudes na emissão dos certificados de 64,28% em comparação a fevereiro de 2017. Conforme artigo que divulgamos – ICP-Brasil alcança importante vitória no combate às fraudes e presenta crescimento na estrutura.
Apesar do número de fraude relacionadas a emissão de forma fraudulenta ter caído consideravelmente o próprio ITI admite que a ICP-Brasil continua sendo atacada por quadrilhas especializadas.
Os titulares e principalmente, os administradores de certificados digitais de terceiros devem redobrar a atenção com a gestão dos certificados no que se refere ao compartilhamento, guarda e backup dos certificados de terceiros.
Conversamos na tarde de hoje – 15 de maio – com Marco Zanini, CEO da Dinamo Networks, um dos palestrantes aqui da Cards Payment 2018. Zanini apresentou o cofre digital que gerencia e armazena certificados digitais e também é indicado para evitar o acesso e uso indevido dos certificados.
Crypto ID: Marco, conhecemos a trajetória de vocês no mercado de HSM – Host Security Modules, desde quando vocês ainda eram apenas fornecedores dos equipamentos pela Globalweb e depois fundaram a Dinamo Networks e tornaram fabricantes dos hardwares. Então temos conhecimento que vocês atendem grandes instituições financeiras, autoridades certificadoras, instituições de saúde com equipamentos de alta performance e com orçamentos que variam entre 200 e 600 mil reais por equipamento. E então, qual foi a motivação de criar a versão Pocket?
Marco Zanini: Pela proximidade que temos com o mercado de certificação digital há muitos anos, percebemos que existia uma forte demanda pelo uso dos nossos equipamentos para guarda de chaves de segurança, incluindo aqui, certificados digitais, contudo, os preços dos equipamentos de alta performance eram muito altos para a maior parte da empresas medias e pequenas, contudo, elas tinham as mesmas necessidades que as grandes empresas neste tópico, assim, decidimos construir um equipamentos que mantivesse estas características, contudo, poderia ter uma performance menor desde que conseguíssemos chegar a um preço satisfatório para esse mercado.
Em especial, três pontos são fundamentais para atender as necessidades destas empresas ou prestadores de serviços que utilizam um considerável número de Certificados Digitais: A primeira é a gestão centralizada, em um único ponto, de todos os certificados digitais da empresa, a segunda é a possibilidade de um dispositivo único que independa de “drivers” em cada estação de trabalho e que guarde de forma segura os certificados digitais, independentemente de serem certificados modelos A1 ou A3 e o terceiro ponto é conseguir ter rastreabilidade do uso dos certificados, isto é, histórico de tudo o que foi assinado ou acessado com o uso do certificado, identificando data, hora, nome do usuário e o que foi assinado.
Cada vez torna-se mais importante, para as empresas públicas e privadas fazerem o controle dos certificados digitais de seus usuários. Porque o número de aplicações que exige o uso do certificado digital cresce entre todas as atividades profissionais. O advogado não peticiona sem o certificado digital, o médico não executa uma série de procedimentos, o contador não envia declarações fiscais, magistrados não despacham, notas fiscais eletrônicas deixam de ser assinadas por empresas e caminhões ficam impedidos de transportar mercadorias. Esses são exemplos que me vem à cabeça agora, mas existem inúmeras outras situações em que a empresa é prejudicada sem que seus usuários estejam portando seus certificados digitais válidos.
Sobre a guarda dos certificados digitais, ela ainda é feita de maneira precária pela maioria dos profissionais que precisam do acesso aos certificados digitais de terceiros. No caso de certificados digitais tipo A3 a “guarda” é feita nas gavetas dos funcionários dos escritórios e certificados A1, são instalados em máquinas sem controle de uso ou registro de logs.
O controle de logs é um importante instrumento utilizado para auditoria em sistemas computacionais. Desta forma, a falta desse controle expõe os escritórios e gera riscos porque o uso do certificado é compartilhado e não há controle de – autenticação a sistemas e assinaturas digitais – com os respectivos certificados. É importante lembrar que os documentos eletrônicos assinados com os certificados digitais ICP- Brasil tem valor legal e a presunção de autoria, ou seja, existe aqui a condição jurídica de declaração de vontade o que leva ao “Não Repúdio” do que é assinado com este recurso tecnológico. Isso coloca os “terceiros” que portam os certificados de clientes em um risco jurídico desnecessário. Pensamos então em criar uma versão de um HSM que comportasse um volume de certificados que atendesse a maior parte destas empresas, mas que não tivesse o custo dos HSMs grandes, usado pelos bancos, embora tenha as mesmas características de segurança.
Crypto ID: Qual é o valor do cofre digital Dinamo Pocket?
Marco Zanini: Temos algumas formas do cliente adquirir o Dinamo Pocket. Ele pode comprar o equipamento pelo preço de 12 mil reais ou pode alugar o dispositivo por 400 reais por mês.
Crypto ID: Este é um valor viável para o mercado?
Marco Zanini: Sim claro. O ganho pela gestão dos certificados já compensa por si em muitas vezes esses valores, seja pelo compliance, seja pela gestão ou simplesmente pela possibilidade de back-up dos certificados garantido pelo Pocket.
Mas ainda assim, vamos fazer uma conta rápida. Hoje, no varejo, uma mídia criptográfica custa em torno de 120 reais considerando o token ou o combo cartão e leitora. O cliente que tiver 200 usuários gasta 24 mil reais em hardwares, sem contar com perdas e bloqueios por uso de senhas erradas. Se o cliente utilizar metade da capacidade de armazenamento, ou seja, 100 certificados, já equivale aos 12 mil que é o preço do Dinamo Pocket. E não consideramos as vantagens financeiras que a boa gestão dos certificados geram as empresas, como garantir a possibilidade de renovações on-line. A perda e bloqueio das mídias além do preço da mídia o titular deverá comprar outro certificado.
Crypto ID: E no caso dos que utilizam os certificados A1? É um custo a mais?
Marco Zanini: A administração de certificados digitais tipo A1 é bem complexa e oferece um grande risco aos titulares dos certificados e aos que detém a guarda dos certificados de terceiros. Temos conhecimento de muitos casos em que os certificados digitais estão sendo utilizados em golpes para saques de FGTS, por exemplo, para contratação de financiamentos e para fraudes de todas as espécies. E sabemos que os certificados A1 não são armazenados como deveriam e não existe o controle de cópias ou utilização como falei a pouco, portanto, é um custo de 60 reais por certificados apenas que deve ser embutido na operação na aquisição do Dinamo Pocket e se o Dinamo Pocket for alugado, estamos falando de cerca de 3 reais mensais por certificado digital, em média. Para que o escritório tenha total controle da utilização dos certificados e possibilidade de acesso simultâneo para múltiplos usuários é um excelente custo benefício.
Crypto ID: Porque as grandes corporações? Essas já não utilizam os HSM de grande porte?
Marco Zanini: Sim, mas primeiro, nem todas as grandes organizações possuem HSM com a função de guarda de certificados digitais ou chaves criptográficas e segundo que mesmo os Bancos e outras instituições financeiras, por exemplo, que possuem HSM para essa finalidade possuem regras de negócios e protocolos de segurança que normalmente não comportam a guarda dos certificados digitais utilizados por seus executivos para assinarem documentos eletrônicos e outros departamentos dentro das organizações como de recursos humanos, jurídicos, contábil e fiscal. Dessa forma, o Dinamo Pocket é adequado também às grandes organizações.
Crypto ID: Você falou muito em auditoria. Como o Dinamo Pocket cumpre essa funcionalidade?
Marco Zanini: A arquitetura do HSM Pocket está baseada em princípios de modularidade, separação de domínios de chaves, controle de acesso, proteção contra violação, além de uma otimização com o objetivo de oferecer estabilidade e desempenho nas operações criptográficas.
Há três itens básicos na arquitetura do HSM: usuários, objetos e módulos. Usuários são as entidades que solicitam serviços e possuem uma área de armazenamento dentro do HSM; estas áreas também são chamadas de domínios ou namespaces de usuários. Também são os usuários que podem abrir sessões de serviço com o HSM. A cada usuário corresponde um domínio ou namespace no HSM.
Objetos são as entidades armazenadas dentro dos domínios ou namespaces do HSM. Todo objeto está intrinsecamente relacionado a um usuário. Há um tipo especial de objeto, que é aquele que contém material criptográfico, normalmente uma chave de criptografia simétrica ou assimétrica; estes objetos são chamados de chaves e tem um nível de proteção e controle maior que os demais objetos. No Pocket todos os objetos são mantidos cifrados internamente por uma chave mestra (Server Master Key) na área de memória persistente e só são decifrados quando há requisição válida de acesso e sempre para uma memória volátil.
Por fim, os módulos são as unidades provedoras de serviços dentro do HSM, cada um responsável por uma especialidade. Dentro dos módulos estão as implementações de algoritmos criptográficos ou genéricos. Existe uma interface bastante rígida de comunicação com cada módulo, expostas aos usuários através das APIs na biblioteca de funções do HSM.
Crypto ID: Isso é o que permite o acesso a múltiplos usuários dos certificados armazenados? E quem dá os acessos aos certificados é o administrador?
Marco Zanini: Isso, essa é a funcionalidade que garante o acesso de múltiplos usuários, mas os acessos não são concedidos por um administrador. Dentro do HSM cada usuário é soberano em seu domínio ou o que chamamos tecnicamente de namespace, ou seja, ele pode dar o acesso para uso do seu certificado digital a terceiros de sua escolha. Não existem usuários ou administradores com permissão implícita sobre os certificados digitais de outros usuários; todas as permissões devem ser dadas explicitamente pelo titular do certificado digital.
Crypto ID: Lá no início da entrevista você falou de empresas públicas e privadas. Para empresas privadas você já deu vários exemplos de conveniência da aquisição do Dinamo Pocket e como o dispositivo poderia atender empresas públicas?
Marco Zanini: Poderia ficar aqui com vocês algumas horas falando sobre o Dinamo Pocket no setor público, mas vamos resumir. Da mesma forma que em empresas privadas, a gestão dos certificados digitais é um fator de grande impacto é até mais crítico no setor público. Em relação ao usuário, perder, esquecer ou ter sua mídia mastigada pelo cachorro se dá exatamente da mesma forma em empresa pública ou privada.
Outra contribuição do Dinamo Pocket está relacionada a troca de funções operacionais, estamos falando das alçadas que funcionários públicos tem para assinar em nome da organizações ou departamentos em que trabalham. Aquela funcionalidade que falei a pouco sobre módulos é exatamente o que resolve essa questão. Também, o Pocket gera economia de gastos com hardwares e brutal redução de suporte com instalação de drives e adequação de sistemas operacionais.
Crypto ID: Como o mercado aceitou o Dinamo Pocket?
Marco Zanini: O Dinamo Pocket foi lançado no segundo semestre de 2017 e já superou nossas expectativas de venda.
Crypto ID: Qual é o perfil dos que já adquiriram o Dinamo Pocket?
Marco Zanini: Como já era previsto por nós, a aquisição é priorizada pelas empresas e escritórios contábeis que já passaram por problemas com a falta de gestão ou acesso aos certificados digitais de clientes para uso indevido e até mesmo os que sofreram prejuízo por falta de certificados válidos para algum tipo de operação. Infelizmente no Brasil temos essa cultura de só reforçar a fechadura depois da casa arrombada. Nos segmentos de mercado conduzidos por profissionais de segurança da informação, que analisam os quesitos técnicos estamos tendo excelente aceitação.
Estamos no momento com PoCs abertas em algumas empresas privadas e públicas e estamos muito confiantes de que acertamos na mosca ao criar o Dinamo Pocket. Resolveremos muitos problemas e o custo benefício é muito bem encaixado aos projetos, gerando redução de despesas e de investimentos e mitigando os riscos jurídicos.
Certificados digitais ICP-Brasil são cada vez mais alvo de gangs e são “roubados” para acesso à contas bancárias e outras fraudes como ataques as contas do FGTS, conforme o Zanini mencionou a pouco. Certificados de funcionários públicos, acessados por terceiros, já foram utilizados, por exemplo, para fraude na extração e transporte ilegal de madeira e até mesmo para soltura de presos. São muito casos que temos notícia de ocorrências desse tipo, mas que fogem da linha editorial do Crypto ID e por isso não publicamos.
Temos como missão apresentar soluções de tecnologia e não noticiar vulnerabilidades por divulgar. Porém, não podemos omitir o fato de que existe muitos administradores de certificados digitais que não estão cientes de suas responsabilidades e as possíveis consequências ruins que podem se envolver pelo mal gerenciamento dos certificados digitais de terceiros.
Gavetas cheias de tokens e cartões como etiquetas devem ser definitivamente extintas dos escritórios assim como a forma com que guardam os certificados A1 precisam ser revistas.
[Ouça] A tecnologia no rumo da Fé! Por Marco Zanini
Muitas ideias surgiram, senhas, códigos dinâmicos, biometrias, certificados digitais, não importa a tecnologia aceita, o fato que no mundo virtual necessitamos de “chaves” que abram as portas para nós e nos reconheçam!!